Size banka çalışanı olduğunu söyleyen birine, telefonunuza ulaşan bankacılık işlemleri için doğrulama kodları vermek gibi kendi özgür iradenizle verilerinizin çalınacağı hiç aklınıza geldi mi?

Büyük çoğunluk muhtemelen şu anda ulaşabileceğimiz teknolojik imkanların ne kadar tehlikeli olduğunu ve eğer bilgi güvenliği kültürümüz yoksa iki ucu keskin bir kılıç olabileceğini bilmiyor.

Bu nedenle, normal ve hatta lehimize görünen bir faaliyet sırasında dolandırıcılık tuzağına düşmemek için bir dizi kavramın farkında olmalı ve kullanılan hileleri bilmeliyiz.

Fail, bir güvenlik açığı bulmaya çalışmak yerine mağduru arayabilir ve onu şifresini ifşa etmesi için kandırmak amacıyla bir bilgi teknolojileri destek görevlisi gibi davranabilir.

Sosyal mühendislik günümüzün en akıllı dolandırıcılık yöntemidir.

Peki sosyal mühendislik nedir? Ne kadar tehlikeli?

Dolandırıcılık kurbanı olmaktan kaçınmanın etkili yolları var mı?

Manipülasyon tekniği

Sosyal mühendislik, teknik bilgisayar korsanlığı yöntemleri kullanmak yerine sistemlere erişmek veya özel bilgileri elde etmek için psikolojiden ve insan hatalarından yararlanma sanatı olarak tanımlanır.

Terim, kullanıcıları güvenlik hataları yapmaları veya hassas bilgileri ifşa etmeleri için kandırmak üzere insan etkileşimleri ve psikolojik manipülasyon yoluyla gerçekleştirilen çok çeşitli kötü amaçlı faaliyetler için geçerlidir.

"Sosyal mühendislik" terimi, çok çeşitli davranışları kapsar. Hepsinin ortak noktası korku, arzu, merak, nezaket, otoriteye saygı gibi bazı ortak insani özellikleri kurbanları çekmek ve planlar uygulamak için sömürmeleridir.
 

Herhangi bir kişiye özel verilerinizi vermekten kaçınmalısınız / Fotoğraf: Unsplash

Sosyal mühendisliğin tehlikesi, programların ve işletim sistemlerinin güvenlik açıklarından yararlanmak yerine insan hatasına dayanmasında yatmaktadır. Bu da onu tanımlamayı ve engellemeyi zorlaştırır.

Geçen günlerde Twitter hesaplarının hacklenmesi ve yüz milyonlarca kullanıcının verilerinin ve şifrelerinin sızdırılması sosyal mühendislik tehlikesini yeniden gündeme getirdi.

Bazı kullanıcıların, sosyal mühendislik yöntemini kullanan bilgisayar korsanlarının dolandırıcılığına kurban gidebileceği kaydedildi.

Çeşitli formlar

Sosyal mühendislik saldırıları, kimlik avı veya yemleme gibi pek çok biçimde olabilir ve adından da anlaşılacağı gibi, kurbanın yoğun arzusunu veya merakını uyandırmak ve onları bir tuzağa çekmek için sahte bir adres veya vaat kullanır.

Örneğin, saldırganlar yem olarak kötü amaçlı yazılım bulaşmış bir USB flash sürücüyü potansiyel kurbanların kolayca görebileceği görünür alanlarda bırakırlar.

Yem, şirketin bordro listesinin yazılı olduğu bir belge gibi dürüstlük ve güvenilirlikten kuşku uyandırmayan bir görünüme sahiptir. Kurbanlar yemi meraktan alıp iş veya ev bilgisayarlarına yerleştirerek sisteme otomatik olarak kötü amaçlı yazılım yükler.

Sosyal mühendislik saldırılarının en yaygın türleri genellikle "kimlik avı" operasyonlarıdır.

Bu operasyonlar e-posta ve kısa mesaj yoluyla kurbanlarda merak veya korku duygusu yaratmayı veya acil bir talebi ima etmeyi amaçlayan eylemlerdir.

Onları hassas bilgileri ifşa etmeye, kötü amaçlı yazılım içeren ekleri açmaya veya meşru olmayan bir web sitesine (görünüş olarak yasal sürümüyle neredeyse aynı) giden bağlantıları tıklamaya zorlayarak, kullanıcıdan mevcut kimlik bilgilerini ve doğrudan saldırgana gönderilen yeni bir parolayı girmesini ister.

Yönetici gibi davran

Bununla birlikte, bugün Arap dünyasında en yaygın sosyal mühendislik biçimi, saldırganın zekice formüle edilmiş bir dizi yalan aracılığıyla bilgi elde ettiği "bahane" yöntemidir.

Dolandırıcılık genellikle failin, hızlı işlem gerektiren kritik bir görevi gerçekleştirmek için kurbandan hassas bilgilere ihtiyacı varmış gibi yapması yoluyla başlatılır.

Saldırgan tipik olarak bir iş arkadaşı, polis memuru, banka ve vergi memuru veya söz konusu bilgileri bilme hakları olan başka bir kişinin kimliğine bürünerek kurbanıyla arasında bir güven ilişkisi tesis ederek başlar. Ardından, önemli kişisel verileri topladığı kurbanın kimliğini doğrulamasına yol açan bir dizi soru sorar.

Bu yöntemlerden biri şu anda çok basit bir şekilde gerçekleştiriliyor. O da "etisalat cash"e para transferi.

Bu yeni sistem, telekomünikasyon şirketlerinin müşterilerine her yerden ve her zaman para transferi, para çekme, para yatırma gibi tüm finansal işlemlerini cep telefonu üzerinden kolayca tamamlamaları için sunduğu elektronik bir cüzdandır.
 

Yöntem, bir sorun varmış izlenimi vermek için kandırmak ve korku salmaktır/ Fotoğraf: Unsplash

Yöntem şu şekildedir:

Dolandırıcılık, mağdura ulaşan "Visa kartınız kullanıma kapatılmıştır. Lütfen arayarak aktif hale getiriniz" mesajı ile başlamaktadır.

Kaygı, kurbanı bankada bir yetkiliyi taklit eden bilgisayar korsanı ile doğrudan ve düşünmeden iletişim kurmaya iterek, hesabında kendisini bilgisayar korsanlığına maruz bırakabilecek bir sorunu olduğuna inandırır.

En önemlisi de fail ona sözde yardım etmek için buradadır.

Aslında, kurban yanıt verebilir ve dolandırıcılık süreci, kurbanı tüm verilerini gönüllü olarak teslim edeceği bir yere götüren kesin adımlarla kart verilerinin ve şifrenin talep edilmesiyle başlar.

Hatta banka çalışanları dahil hiç kimseyle paylaşılamayan son derece gizli doğrulama kodu ile bile başlayabilir.

Kaynağı doğrulayın

Amaç, mağdurun bilgi ve verileri ile ilgili bir sorun olduğu izlenimini uyandırarak aldatma ve korku aşılama ve o anda kendisine yardım etmeye çalıştığı konusunda onu kandırarak verilerini almaktır.

Saldırılar bir veya daha fazla adımda gerçekleşir. Çünkü fail önce hedeflenen kurbana saldırıyı başlatmak için gerekli temel bilgileri toplar.

Ardından, kurbanın güvenini kazanmak için harekete geçer ve hassas bilgileri ifşa etmek veya önemli kaynaklara erişim izni vermek gibi güvenlik uygulamalarını bozan müteakip eylemler için teşvikler sağlar.

Bu nedenle, telefon mesajları geldiğinde uyanık ve dikkatli kalmalı, önce gönderildiği numarayı kontrol etmeli ve telefondaki özel bilgilerinizi kesinlikle kimseye vermemelisiniz.

Aynı şekilde endişelendiğiniz bir e-posta geldiğinde de aynı şeyi yapmalısınız.

Şüpheli kaynaklardan veya bilinmeyen bir kişiden gelen e-postaları ve ekleri kesinlikle açmamalısınız.

Kişiyi tanıyor olmanıza rağmen mesajından şüphe duysanız dahi herhangi bir işlem yapmadan önce diğer kaynaklardan gelen haberleri incelemeli ve onaylamalısınız.

Özellikle e-posta adresleri her zaman sahte olduğundan, güvenilir bir kaynaktan geldiğini iddia eden bir adres bile aslında bir saldırganın işi olabilir.

Ayrıca, internetteki aldatıcı tekliflere, özellikle de çok cazip görünenlerin cazibesine kapılmamaya dikkat edin.

Bu noktada, meşru bir teklifle mi yoksa bir tuzakla mı karşı karşıya olduğunuzu anlamak için arama motorlarından faydalanarak konuyu araştırabilirsiniz.

Birden fazla kimlik doğrulamanın kullanılması veya birkaç adımı takip ederek kullanıcının kimliğinin doğrulanması, bir saldırı durumunda hesabınızın korunmasını sağlamaya da yardımcı olur.

Virüsten ve kötü amaçlı yazılımdan cihazınızı koruyan programınızı güncel tutmanız da önemlidir.